ADAudit Plus »
 

Logboekregistratie en controle van PowerShell

ADAudit Plus vereenvoudigt het proces van het volgen van PowerShell-activiteit door de ruwe en overbodige PowerShell-loggegevens om te zetten in realtime rapporten en waarschuwingen. Hierdoor kunt u eenvoudig op de hoogte blijven van PowerShell-activiteiten.

Hoogtepunten van PowerShell-controle met ADAudit Plus

Codemonitoring

Controleer PowerShell-opdrachten en de inhoud van scripts die in uw Windows Server-omgeving worden uitgevoerd.

Procestracering

Houd bij wie een PowerShell-proces heeft uitgevoerd, wanneer en vanaf welke locatie in uw omgeving.

Auditklare nalevingsrapporten

Automatiseer het aanmaken en afleveren van PowerShell-auditrapporten om te voldoen aan nalevingsbehoeften.

Directe beveiligingswaarschuwingen

Ontvang in realtime meldingen via e-mail en sms over kritieke activiteiten, zoals het uitvoeren van een bepaald script.

Logboekregistratie en controle van PowerShell met native hulpprogramma's

Windows PowerShell wordt veel gebruikt om kritieke Windows Server-bronnen te beheren, zoals gebruikers, groepen, GPO's en bestanden. Het traceren van PowerShell-activiteiten is dus noodzakelijk. U kunt PowerShell-activiteiten in uw omgeving traceren door de drie onderstaande stappen te volgen.

  •  
    Stap 1: Schakel logboekregistratie van PowerShell-activiteiten in

    PowerShell ondersteunt drie soorten logboekregistratie: logboekregistratie van modules, logboekregistratie van scriptblokkering en transcriptie.

    • Met logboekregistratie van modules kunt u de modules opgeven waarvan u een logboek wilt bijhouden.
    • De logboekregistratie van scriptblokkering registreert de volledige inhoud van de code en geeft ook informatie over de gebruiker die de PowerShell-opdrachten heeft uitgevoerd.
    • Transcriptie registreert de opdrachten die worden uitgevoerd samen met hun resultaten. Het registreert echter niet de inhoud van uitgevoerde scripts of de uitvoer die naar andere bestemmingen zoals een bestandssysteem wordt geschreven.
    • Om de logboekregistratie van modules in te schakelen via Groepsbeleid, navigeert u naar Computerconfiguratie → Beleid → Beheersjablonen → Windows-onderdelen → Windows PowerShell → Logboekregistratie van modules inschakelen. Om logboeken van alle modules bij te houden, navigeert u naar Logboekregistratie van modules inschakelen → Opties → Tonen en voert u * in het venster Modulenamen in.
    • Om de logboekregistratie van scriptblokkering in te schakelen via Groepsbeleid, navigeert u naar Computerconfiguratie → Beleid → Beheersjablonen → Windows-onderdelen → Windows PowerShell → PowerShell Scriptblokkering inschakelen.
    • Om transcriptie in te schakelen via Groepsbeleid, navigeert u naar Computerconfiguratie → Beleid → Beheersjablonen → Windows-onderdelen → Windows PowerShell → PowerShell-transcriptie inschakelen. Als u een tijdstempel wilt registreren voor elke opdracht die wordt uitgevoerd, navigeert u naar PowerShell-transcriptie inschakelen en vinkt u het selectievakje Aanroepheaders opnemen aan.

    Tip: Het wordt aanbevolen om minimaal logboekregistratie van scriptblokkering in te schakelen om code te volgen die wordt uitgevoerd in PowerShell.

  •  
    Stap 2: Configureer geschikte PowerShell-registratiegrootte

    Als u de grootte van het PowerShell-logboek wilt configureren via Groepsbeleid, navigeert u naar Computerconfiguratie → Voorkeuren → Windows-instellingen. Klik met de rechtermuisknop op Register en selecteer vervolgens Nieuw → Registeritem. In het venster Eigenschappen nieuw register:

    • Selecteer Bijwerken van het vervolgkeuzemenu in het veld Actie.
    • Selecteer HKEY_LOCAL_MACHINE in het vervolgkeuzemenu in het veld Hive.
    • Voer in het veld Sleutelpad de tekst SOFTWARE\WindowsHuidigeVersie\WINEVT\Kanalen\Microsoft-Windows-PowerShell\Operationeel in.
    • Haal in het veld Waardenaam het vinkje weg bij Standaard en typ MaxGrootte.
    • Selecteer REG_DWORD van het vervolgkeuzemenu in het veld Waardetype.
    • Typ een geschikte waarde in het veld Waardegegevens.
    • Selecteer Decimaal in het veld Basis.
    • Klik op Toepassen.

    Tip: De grootte van het PowerShell-gebeurtenislogboek moet worden ingesteld op ten minste 150 MB om ervoor te zorgen dat gegevens gedurende een voldoende lange periode worden bewaard.

  •  
    Stap 3: Traceer PowerShell-gebeurtenissen voortdurend

    PowerShell-logboeken zijn te vinden in de Logboeken onder
    Applicatie en Servicelogboeken → Microsoft → Windows → PowerShell → Operationeel.

    • Modulelogboekgebeurtenissen worden opgeslagen onder gebeurtenis-ID 4103.
    • Logboekgebeurtenissen van scriptblokkering worden opgeslagen onder gebeurtenis-ID 4104.
    • Transcriptielogboeken worden niet opgeslagen onder een gebeurtenis-ID, maar opgeslagen als platte tekstbestanden met als standaardlocatie C:\Users\%USERNAME%\Documents.

    Tip: Gezien de enorme hoeveelheid PowerShell-gebeurtenissen die worden gegenereerd, kan het bijhouden van PowerShell-activiteit met behulp van native hulpprogramma's een arbeidsintensief proces zijn. Een oplossing van derden zoals ADAudit Plus kan helpen dit probleem op te lossen.

Blijf met een paar klikken op de hoogte van PowerShell-activiteiten

 
  • 1
     

    Ontvang in realtime meldingen via e-mail en sms over kritieke activiteiten, zoals het uitvoeren van een bepaald script.

    2
     

    Automatiseer responsacties, zoals het uitschakelen van een apparaat

    Configureer directe beveiligingswaarschuwingen

    Configureer directe beveiligingswaarschuwingen
    Ontvang in realtime meldingen via e-mail en sms over kritieke activiteiten, zoals het uitvoeren van een bepaald script.
    Automatiseer responsacties, zoals het uitschakelen van een apparaat

  • 1
     

    Houd een uitgebreid audittrail bij van wie wat heeft gedaan, wanneer en waarvandaan.

    2
     

    Automatiseer het aanmaken en leveren van rapporten om te voldoen aan nalevingsbehoeften.

    Auditklare nalevingsrapporten

    Auditklare nalevingsrapporten
    Automatiseer het aanmaken en leveren van rapporten om aan de nalevingsbehoeften te voldoen.
    Automatiseer het aanmaken en leveren van rapporten om te voldoen aan nalevingsbehoeften.

 

Bewaar uw Active Directory, bestandsservers, Windows-servers en werkstations veilig en compatibel met ADAudit Plus

AD wijzigingen controleren

Ontvang realtime meldingen over wijzigingen die zich zowel lokaal voordoen als in Azure Active Directory.

Aanmeldingen van gebruikers bijhouden

Krijg volledig inzicht in de aanmeldingsactiviteit van gebruikers, variƫrend van aanmeldingsfouten tot aanmeldingsgeschiedenis.

 
Problemen met accountvergrendelingen oplossen

Detecteer vergrendelingen onmiddellijk en ken de hoofdoorzaak door de bron van verificatiefouten op te sporen.

Bewaak bevoegde gebruikers

Krijg een geconsolideerd audittrail van beheerders- en andere bevoegde gebruikersactiviteiten.

 
Toegang tot bestanden bijhouden

Controleer de toegang tot bestanden en mappen van Windows, NetApp, EMC en Synology.

 
Audit Windows-ledenservers

Lokale aanmeldingsactiviteiten en afmeldactiviteiten bewaken; wijzigingen in lokale gebruikers, groepen, gebruikersrechten; en meer.

Detecteer interne bedreigingen

Maak gebruik van analyse van gebruikersgedrag (UBA) om afwijkingen te detecteren op basis van activiteitspatronen.

 
Toon naleving aan

Automatiseer het genereren van gedetailleerde rapporten en toon naleving van SOX, GDPR en andere mandaten aan.

 

ADAudit Plus Trusted By